Termite, Velvet Tempest et ClickFix : l’évolution inquiétante des ransomwares
En tant qu’analyste de la cybersécurité, je suis confronté quotidiennement à l’évolution rapide des menaces. Récemment, une nouvelle tendance a particulièrement attiré mon attention : l’utilisation combinée de la technique ClickFix, de malwares sophistiqués comme DonutLoader et CastleRAT, et l’action du groupe de ransomware Velvet Tempest. Ces éléments, observés par MalBeacon dans un environnement simulé, dessinent un tableau préoccupant de la complexité croissante des attaques.
ClickFix : une nouvelle approche de l’ingénierie sociale
La technique ClickFix, qui consiste à inciter les victimes à copier-coller une commande obscurcie dans l’invite de commande Windows, est une forme d’ingénierie sociale particulièrement retorse. Elle exploite la confiance des utilisateurs et leur habitude d’exécuter des instructions perçues comme légitimes. Selon les recherches, Velvet Tempest utilise cette méthode pour initier l’infection, contournant ainsi les défenses traditionnelles.
Source : MalBeacon
Velvet Tempest : un acteur majeur du ransomware
Velvet Tempest, également connu sous le nom DEV-0504, n’est pas un nouveau venu dans le paysage des menaces. Ce groupe opère en tant qu’affilié ransomware depuis au moins cinq ans et a été associé à des attaques impliquant des souches particulièrement dévastatrices telles que Ryuk, REvil, Conti, BlackMatter, BlackCat/ALPHV, LockBit et RansomHub. Leur capacité à s’adapter et à adopter de nouvelles techniques en fait un adversaire redoutable.
DonutLoader et CastleRAT : les outils de la menace
Une fois l’accès initial obtenu via ClickFix, Velvet Tempest déploie DonutLoader et CastleRAT. DonutLoader sert de chargeur de malware, tandis que CastleRAT est une porte dérobée (backdoor) permettant un accès à distance persistant au système compromis. CastleRAT est particulièrement dangereux car il est associé à CastleLoader, un outil utilisé pour distribuer diverses familles de RAT et de voleurs d’informations, comme LummaStealer.
Termite : un ransomware en pleine ascension
Le ransomware Termite, déjà responsable d’attaques contre des entreprises de premier plan comme Blue Yonder et Genea, est l’objectif final potentiel de ces intrusions. Bien que MalBeacon n’ait pas observé le déploiement de Termite dans leur environnement simulé, la présence de l’outil de préparation à l’intrusion suggère que c’est un objectif probable. Il est important de noter que Velvet Tempest est connu pour des attaques de double extorsion, combinant le chiffrement des données avec leur vol préalable.
Les tendances futures et les implications pour la sécurité
L’utilisation de ClickFix par Velvet Tempest n’est pas un cas isolé. D’autres groupes de ransomware, comme Interlock, ont également adopté cette technique. Cela indique une tendance plus large vers des méthodes d’ingénierie sociale plus sophistiquées et personnalisées. Nous pouvons nous attendre à voir une augmentation des attaques utilisant des leurres convaincants et des techniques d’évasion des défenses traditionnelles.
Bon à savoir : La cyber-tromperie, comme celle utilisée par MalBeacon pour observer Velvet Tempest, est un outil précieux pour comprendre les tactiques, techniques et procédures (TTP) des attaquants et améliorer les défenses.
Comment se protéger ?
La protection contre ces menaces nécessite une approche multicouche. Voici quelques mesures essentielles :
- Sensibilisation des employés : Former les employés à reconnaître les tentatives d’ingénierie sociale, en particulier les leurres ClickFix.
- Solutions de sécurité robustes : Déployer des solutions de sécurité avancées, telles que des systèmes de détection et de réponse aux menaces (EDR), pour détecter et bloquer les activités malveillantes.
- Gestion des correctifs : Maintenir les systèmes et les logiciels à jour avec les derniers correctifs de sécurité.
- Surveillance du réseau : Surveiller le réseau pour détecter les activités suspectes et les intrusions potentielles.
FAQ
Qu’est-ce que ClickFix ?
C’est une technique d’ingénierie sociale qui consiste à inciter les victimes à copier-coller une commande malveillante dans l’invite de commande Windows.
Qui est Velvet Tempest ?
C’est un groupe de ransomware actif depuis au moins cinq ans, associé à des attaques impliquant plusieurs souches de ransomware majeures.
CastleRAT est-il dangereux ?
Oui, CastleRAT est une porte dérobée qui permet aux attaquants d’accéder à distance et de contrôler les systèmes compromis.
Le ransomware Termite est-il une menace importante ?
Oui, Termite a déjà ciblé des entreprises de premier plan et est considéré comme un ransomware en pleine ascension.
Comment puis-je protéger mon entreprise contre ces menaces ?
En sensibilisant les employés, en déployant des solutions de sécurité robustes, en gérant les correctifs et en surveillant le réseau.
Restez informés et vigilants. L’évolution des menaces est constante, et la sécurité de vos données dépend de votre capacité à vous adapter et à anticiper les prochaines attaques. N’hésitez pas à partager vos expériences et vos questions dans les commentaires ci-dessous.
